Оферта за отстъпка за множество лицензи
База данни за заплахи Мобилен зловреден софтуер Мобилен зловреден софтуер на Herodotus

Мобилен зловреден софтуер на Herodotus

До Mezo през Мобилен зловреден софтуер, Банков троянски конг
Превод на:

Изследователи по сигурността откриха нов троянски кон за банкиране на Android, наречен Herodotus, който се използва в кампании за активно превземане на устройства (DTO). Наблюдавана е ранна активност, насочена към потребители в Италия и Бразилия, а анализът показва, че зловредният софтуер се предлага като „Malware-as-a-Service“ (MaaS).

Фалшив Chrome Dropper, SMiShing и странично зареждане

Операторите разпространяват Herodotus чрез приложения за прехвърляне, които се представят за легитимни приложения (маскирани като Google Chrome с имена на пакети като com.cd3.app) и примамват жертвите чрез SMS фишинг и други вектори на социално инженерство. След като приложението за прехвърляне е инсталирано (често чрез странично зареждане), то извлича и инсталира злонамерения полезен товар.

Способностите на Херодот

  • Злоупотреба с услугите за достъпност на Android за контрол на екрана, показване на непрозрачни наслагвания и показване на фалшиви страници за вход върху банкови и крипто приложения.
  • Прихващайте и извличайте екранно съдържание и SMS съобщения (включително кодове за 2FA).
  • Да си предоставя допълнителни разрешения, да заснема ПИН кодове или шаблони за заключване на екрана, да инсталира отдалечени APK файлове и да се запазва в рамките на активни сесии, вместо просто да краде статични идентификационни данни.
  • Записвайте натискания на клавиши, стриймвайте екрани и извършвайте отдалечени действия за въвеждане, за да осъществите поемане на контрол над акаунта.

„Хуманизиране“ на дистанционните измами за преодоляване на поведенческите детектори

Отличителната черта на Herodotus е опитът му да имитира времето на човешкото взаимодействие. Зловредният софтуер може да добавя рандомизирани закъснения между автоматизираните събития на въвеждане (съобщава се диапазон на закъснение ~300–3000 милисекунди), така че дистанционното въвеждане да изглежда по-скоро като от реален потребител и по-малко като скоростта на машината – ясен опит за заобикаляне на базирани на времето или поведението системи за борба с измамите и биометричното разпознаване. Тази рандомизация на времето се описва като умишлен опит за преодоляване на защити, които разчитат предимно на темпото на въвеждане и честотата на натискане на клавишите.

Връзки с Броквел

Анализът показва, че Herodot не е просто нова версия на Brokewell, но изглежда е използвал повторно техники и фрагменти от код (включително методи за обфускация и буквални препратки, като маркери като „BRKWL_JAVA“) от Brokewell и други семейства – ефективно свързвайки известни компоненти в нов, активно разработван щам.

Географски обхват и цели

Изследователи са открили наслагващи се страници, предназначени за банки в САЩ, Турция, Великобритания и Полша, както и за портфейли и борси за криптовалути – доказателство, че операторите разширяват целевата си география и вертикали отвъд първоначалните наблюдения в Италия/Бразилия. Проектът е активно в процес на разработка и се предлага на други измамници чрез подземни форуми.

Практически действия за приоритизиране

  • Третирайте решенията за борба с измами, базирани единствено на поведението, като един сигнал в многопластова защита: комбинирайте проверка на състоянието на устройството, проверки за целостта (откриване на злоупотреба с достъпност и странично заредени приложения), мрежова телеметрия и оценка на риска от транзакции.
  • Откриване и блокиране на странично зареждане и неоторизирани инсталации на пакети; наблюдение за подозрителни наслагвания на прозорци и използване на услуги за достъпност на крайни точки.
  • Приложете силно многофакторно удостоверяване (push или хардуерни токени през SMS, където е възможно), защита на устройствата и навременни актуализации на операционната система/приложенията.
  • Внедрете ограничения за транзакции и вторична проверка за действия с висок риск, които биха могли да бъдат злоупотребени по време на сесия на живо.

Технически извод

За разлика от простите троянски коне, събиращи идентификационни данни, Herodotus е проектиран да остане активен по време на сесии на живо и да извършва отдалечени, запазващи сесията поемания на акаунти. Това прави откриването в реално време и смекчаването на проблеми по време на сесия (например откриване на наслагвания, необичайни модели на въвеждане, които не са съвместими със състоянието на устройството, или едновременно стрийминг на екрана) особено важни.

Тенденция

Измама с предупреждение за уебмейл сървър

Фишинг, Спам
В постоянно развиващия се пейзаж на киберзаплахите, измамите, маскирани като легитимни известия, стават все по-сложни. Измамата с предупреждения за уеб пощенски сървър е отличен пример, насочена към нищо неподозиращи потребители с измамни имейли, които изглеждат сякаш идват от реномирани уеб пощенски услуги. Тези имейли не са свързани с никакви легитимни компании, организации или доставчици на...

Най-гледан

Зареждане...